Phishing-Mails

Sind Phishing-Mails denn noch oder waren sie überhaupt je eine Gefahr?

Generell wird sicher von allen Banken aufgeklärt, was Phishing ist, einige Banken setzen schon "verbesserte" PIN/TAN-Verfahren (iTan, eTan) ein, wo reines Phishing (Level I+II) kein Erfolg mehr haben kann.

Aber bist doch selber Bankkaufmann und kennst die Antwort für dein Haus doch schon Denke es wird nirgends grundsätzlich anders Verfahren...

Phishing ansich ist weder eine Gefahr noch sonst etwas. Die Gefahr ist nur durch das Social Engeneering gegeben.

Und mehr als Aufklären können wir nicht!

Hallo maxxy,
da will ich deine Erwartungen ´mal nicht enttäuschen ( Naja, zerreißen wäre allerdings übertrieben.)
Euer Mülleimerbeispiel zeigt eigentlich gut das Dilemma, auch wenn ich eure Reaktion für sehr übertrieben halte, einfach weil die Kontoauszugsdaten soo geheim ja nicht sind (wenn nicht Kreditkartennummern etc. dort stehen). Name, Kontonummer und ein paar Buchungen interessieren normalerweise keinen.
Und du kannst sicher sein: Die Banken wären froh, wenn diese Mülleimer nicht notwendig wären oder sagen wir mal so: sie wären froh, wenn diese überhaupt benutzt würden und die Auszüge nicht in den Rabatten oder Vorplätzen lägen.

Natürlich kann es nicht die Aufgabe der Banken sein, ihre Kunden zu Sauberkeit oder dem Abheften ihrer Auszüge zu bewegen, die Erziehung wurde wohl woanders versaut. Genausowenig kann eine Bank den Kunden Sicherheits-Vorschriften bezüglich der genutzen Hard- und Software machen. Du als Linux-User lässt dir ja auch nichts vorschreiben, würde ich vermuten. Dann müssten wir erst mit allen Kunden einen Test machen, inwieweit er sich mit Sicherheitsfragen auskennt. Wie weit soll das mit der Bevormundung gehen?

Man kann den Kunden Sicherheit und Aufklärung nur anbieten, das Angebot muss aber auch angenommen werden!

Mit dem "Vorleben der Sicherheit" hast du aber Recht. Wieviele Banken haben z.B. auf ihrer Internetseite den Hash ihres Sicherheitsschlüssels stehen und wieviele Bank-Kollegen wissen, wo sie diesen finden, sollte ein Kunde danach fragen (vermutlich denken die meisten eh, das wäre etwas zu rauchen)?

Das Bewusstsein für Verschlüsselung und Datensicherheit muss gebildet und der praktische Umgang damit muss auch bei den Banken erst einmal erlernt werden. Deswegen ist eine Diskussion hier mit/über Sicherheit auch gut - egal was dabei rauskommt!

Gruß
Raimund

Ergänzung: Evtl. dürfte euch das interessieren: http://www.die-bank.de/index.a…10&art=420
(externer link)

Ich komme mal den Argumenten anderer zuvor: Verglichen mit den Risiken, die Bank und Kunde beim guten alten Bargeld, Scheck etc. eingehen, ist beim Online-Banking bisher ja eigentlich noch nicht viel passiert. Womit ich die Problematik nicht runterspielen möchte.

Was mich aber an allem besonders ärgert ist, dass der mediale Fokus so negativ auf den Banken liegt. Als ob es auf den Kundenrechnern nicht mehr zu schützen gäbe, als Kontoauszug und -zugang! Und ich meine damit nicht den Brief an die Geliebte oder ähnliches. Wenn ich an die PC-Fitness der Stütze unsere Wirtschaft denke, unserem soliden deutschen Mittelstand, dann wird mir Angst und Bange, was da alles passieren kann - oder schlimmer noch: was da alles passiert! Und, Leute, das kostet unter´m Strich richtig! (Auf das Web zu verzichten, wäre allerdings noch teuerer!)
Ich erlebe es einfach zu selten, dass ein(e) UnternehmensChefIn mich fragt: "Sind Sie sicher, dass das mit unserer Firewall harmoniert?" oder "brauchen wir zur Installation jetzt Adminrechte?"

Ich schwadroniere wieder, sorry dafür.
schönes Wochenende!
Raimund

Moin,

mit Interesse habe ich die Beiträge zu diesem Thema gelesen, nun meine 50 Cent.



In der Regel taucht ein entsprechender Hinweis auf der HP des betroffenden Kreditinstituts auf.

Was ich so ungerecht finde, ist die Tatsache, dass viele es so hinstellen, als sei Phising Schuld der Bank. Datensicherheit obliegt immernoch dem Kunden, zumindest was seine Pin + Tan angeht.



Wäre es möglich diese Aussage mit Beispielen zu unterlegen? Ansonsten halte ich diesen Satz für bloße Polemik. Klingt aber toll.



Geniale Idee, zumal das BKA auch in China, Russland, etc. umfassende Vollmachten hat.

Mal ne Frage: Hast Du schon mal einen Einbruch in ein Rechnersystem bearbeitet? Dann solltest Du dieses mal tun. Denn selbst wenn hier ein hoher Schaden entsteht und sehr kritische Daten abgegriffen werden, darfst Du mit sowas erst mal zu Deiner lokalen Polizeidienststelle. Die wollen dann direkt den Rechner hochfahren und auf der Originalfestplatte arbeiten. Die Erfahrung zeigt, dass man sich in solchen Fällen dann noch mit der Organisation dieser Behörden befassen darf, um einen fähigen Mitarbeiter zu finden, der den Quark rechtsverbindlich aufarbeiten kann. Das ist kein Versagen der Beamten, sondern ein grobes Versagen der Politik.

Was da wirklich fehlt, sind zentrale Anlaufstellen mit gut ausgerüsteter Infrastruktur.

Das es auch anders funktionert, zeigt uns (leider) die USA. Durch strigente zentrale Koordination ist es z.B. zu einer der größten Aktionen gegen Kreditkartenmissbrauch gekommen (Operation Firewall). Diese war auf ganzer Linie erfolgreich, wie die entsprechenden Verurteilungen zeigen.

Neue Formen des Verbrechens verlangen eben eine Änderung und Anpassung von Organisationen, um effektiver gegen solche Leute vorzugehen.

Gerne! Die Antwort ist ganz einfach: Das Thema ist nur ganzheitlich zu diskutieren.

Es geht im Prinzip darum, ein genormtes Verfahren für Vorfälle zu haben und genau auf dieses vertrauen zu können. Im Bereich der Unternehmen müssen entsprechende Policies vorhanden sein, die reglementieren wie man bei solchen Vorfällen reagiert. Im Bereich des Phishing und anderer Computerkriminalität ist es unabdingbar ähnliche Verfahren zu haben. Eine zentrale Anlaufstelle der Polizei, eine speziell auf diese Delikte abgestimmte Abteilung ist damit gemeint. Wie ich bereits anmerkte, haben wir das in Deutschland nicht wirklich. Jetzt frage ich mal: Wie will man solch eine Form von Kriminalität bekämpfen, wenn man die Informationen nicht zentral zusammenführt? Wollen wir - als Gesellschaft - das nicht bekämpfen? Sieht die Lösung etwa so aus, dass einfach die entsprechende Phishing-Email ignoriert wird? Lassen wir die Geschädigten alleine, weil sie "zu dumm" waren? Gefährlicher Gedanke. Denn wenn man so denkt, muss man auch andere Betrugsdelikte nicht mehr verfolgen.

Vertreter großer Organisationen sind m.E. in der Pflicht solche Formen der Strafverfolgung gegenüber der Politik einzufordern. So schwer etwas in diesem Rahmen aufzubauen, kann es nicht sein, wenn sogar Russland über eine zentrale Anlaufstelle verfügt. Hier in Deutschland bist Du quasi auf Dich alleine gestellt. Und die Ironie: wir - als Land - beanspruchen auch noch eine Vorreiterrolle. Obwohl wir hier bereits von allen möglichen (kleinen) Ländern überholt worden sind. Bisher kommen die wirklichen Initiativen immer aus dem Ausland und das ist wirklich lächerlich und auch spürbar peinlich.



Ich verspüre hier keinen Meinungswechsel.

Ich bin persönlich immer noch der Auffassung: Es wird zu wenig im Bereich der pro-aktiven Aufklärung getan. Strategien wie "Ich klatsche mal nen situativen Hinweis auf unsere Homepage und fertig", sind meines Erachtens nach keine wirkliche Hilfe.



Klar kann man alles auf die User schieben, nach dem Motto: Du hast Dein System nicht gepatcht -> Selbst schuld! Ist aber sicherlich nicht die Antwort. Schließlich haben doch die Unternehmen dem Konsumenten das Internet schmackhaft gemacht. Man kann Leuten nicht erst die Vorteile einer Technologie schmackhaft machen und sich dann dünne machen, wenn es hakelig wird. Was Dein Beispiel angeht: Kannst Du mit Sicherheit sagen, dass sich jeder dieser betreffenden Benutzer über seine Situation bewusst ist und gleichzeitig über die entsprechenden Kenntnisse verfügt, um dieser Situation abzuhelfen?

Ich will meine Aussage mal anders verdeutlichen. Ich möchte damit deutlich machen, warum ich keinesfalls als Unternehmen aus der Verantwortung bin - selbst wenn der Kunde noch so dumm ist. Wenn man einer bestimmten geschäftlichen Tätigkeit nachgeht und seine Kunden nicht umfassend in der Beratung auf Risiken hinweist, verletzt man seine Sorgfaltspflicht. Warum? Weil man offensichtlich solche Dienstleistung anbietet und sich somit auch der Risiken bewusst sein muss. In meinem Bereich heißt das Resultat Beratungsschaden.

Habe dort mal eine ganz andere Meinung Wenn der Kunde eine entsprechende Anleitung hat, wie er mit Sicherheit auf die Bankseite zugreifen kann und 99% der Kunden diese Hinweise auch unter Angabe der Risiken ignoriert, hat man von Bankseite gar nicht die Möglichkeit auf breite Fläche zu informieren. Dabei sei zu sagen, das die Bankingverfahren an sich sicher sind und lediglich durch Blauäugigkeit, Gutgläubigkeit und unsicheren Privat-Pc`s untergraben werden. Gegen das blinde Vertrauen des Menschen ist kein Kraut gewachsen, die unsicheren Privat-Pc`s können kaum in die Verantwortung der Banken fallen. Ein PC wird ja nicht unsicherer, nur weil von dem PC Onlinebanking aus gemacht wird. Früher würden Viren etc. schön per Datenträger verbreitet, heute ist es in erster Linie das Internet, das dieses "Ungeziefer" verbreitet. Also wird der PC doch in dem moment um einiges "unsicherer", sobald er eine Verbindung zum Internet herstellt und wer ermöglicht ihm das? Sein Internetprovider, also wäre es nicht genau die Aufgabe des Internetproviders, über Sicherheit im Internet zu informieren und zu sensibilisieren... Unabhängig ob es nun seine Aufgabe wäre, hat der Provider die Möglichkeit alle Internetnutzer zu errreichen.

Fortsetzung folgt...

2 - 3 kleine Bemerkungen habe ich dazu:

1.) "Bankingverfahren an sich sicher"

Nein. Mein Standard-Argument dagegen: Auch Applikationen großer Banken sind nicht gegenüber Attacken auf Basis von Defiziten in der Applikation selbst geschützt. Während Protokollattacken (Basis: TCP/IP) ziemlich gut erforscht sind, sind Attacken auf Basis von SQL-Injections, Path-Recursion, HTTP-Splitting, HTTP-Response-Header-Injections nahezu unerforscht. Zugegeben ist es bei Banken schwieriger, wenn aber auch grundsätzlich nicht unmöglich. Ich erinnere nur an das Bezahlsystem der Deutschen Teleklemm. An dieser Stelle muss man übrings auch auf die Reaktion der Verantwortlichen hinweisen. Jemand hat dort Full Disclosure betrieben und die Teleklemm informiert. Die Reaktion war darauf: Strafanzeige. Alles nur weil der Mensch sich dann weigerte einen "Knebel-Beratungsvertrag" zu unterschreiben.

2.) "Was nützt es wenn sich keiner anschnallt"

Nun. Ein Sicherheitsgurt ist in jedem Auto vorhanden. In der Tat! Aber technische Einrichtungen für HBCI sind eben nicht in jedem Haushalt vorhanden. Und die Beratung in dem Bereich ist wahrlich sehr schlecht. Wie ich bereits sagte, bin selbst ich mit den Beantragungsvorgang bei meiner Bank total überfordert. Ich finde die Idee mit dem Kaffeeröster eigentlich ganz gut.

Was Verantwortung angeht, so bleibe ich beim Schlagwort "Vorbildsfunktion". Proaktive Beratung halte ich für gut und angebracht. Leider habe ich das persönlich noch nicht erlebt. Meine Erfahrungen gehen eher in die Richtung "Wir werden sehen, was wir für Sie tun können". Das finde ich persönlich sehr schlimm. Der Hang in unserer Gesellschaft scheint zur vollständigen Eigenverantwortung überzugehen. Mag ja auch in vielen Bereichen angebracht sein, im Bereich Sicherheit nicht.

Es sollte lediglich als Beispiel für einen vermeintlich "sicheren" Dienst / "sicheres" Verfahren dienen.



Bezwecken möchte ich damit gar nix. Ich wollte lediglich darauf hinweisen, dass die jeweilige Applikation durchaus angreifbar sein kann. Ergo: Beruht das "sichere" Verfahren auf dem Vertrauen zur Applikation. Aber ich stimme Dir zu, dem Kunden kann es egal sein. Solange wie solch ein Vorfall transparent wird. Im obengenannten Beispiel (Teleklemm AG) sollte es dem Kunden aber - aus politischen Interessen - nicht präsent werden. Wobei man fairerweise sagen muss: Es ist kein Schaden für Kunden entstanden.